本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者
完成下列步驟以設定您的身分提供者:
-
在建立精靈的設定身分提供者頁面上,選擇標準。
-
選擇使用標準 IdP 繼續。
-
下載 SP 中繼資料檔案,並保持個別中繼資料值的索引標籤開啟。
-
如果 SP 中繼資料檔案可用,請選擇下載中繼資料檔案以下載服務提供者 (SP) 中繼資料文件,然後在下一個步驟中將服務提供者中繼資料檔案上傳到您的 IdP。如果沒有此功能,使用者將無法登入。
-
如果您的提供者未上傳 SP 中繼資料檔案,請手動輸入中繼資料值。
-
-
在選擇 SAML 登入類型下,選擇 SP 起始和 IdP 起始的 SAML 聲明,或僅 SP 起始的 SAML 聲明。
-
SP 起始和 IdP 起始的 SAML 聲明可讓您的入口網站支援這兩種類型的登入流程。支援 IdP 起始流程的入口網站可讓您向服務聯合身分端點呈現 SAML 聲明,而不需要使用者透過造訪入口網站 URL 來啟動工作階段。
-
選擇此選項,以允許入口網站接受未經請求的 IdP 起始的 SAML 聲明。
-
此選項需要在 SAML 2.0 身分提供者中設定預設轉送狀態。入口網站的轉送狀態參數位於 IdP 起始的 SAML 登入下的主控台中,或者您可以從 下的 SP 中繼資料檔案複製
<md:IdPInitRelayState>。 -
注意
-
以下是轉送狀態的格式:
redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider。 -
如果您從 SP 中繼資料檔案複製並貼上值,請務必
&變更為&。&是 XML 逸出字元。
-
-
-
僅為入口網站選擇 SP 起始的 SAML 聲明,僅支援 SP 起始的登入流程。此選項將從 IdP 起始的登入流程拒絕未經請求的 SAML 聲明。
注意
有些第三方 IdPs 可讓您建立自訂 SAML 應用程式,以利用 SP 起始的流程提供 IdP 起始的身分驗證體驗。例如,請參閱新增 Okta 書籤應用程式
。 -
-
選擇是否要啟用對此提供者的 Sign SAML 請求。SP 啟動的身分驗證可讓您的 IdP 驗證身分驗證請求是否來自入口網站,以防止接受其他第三方請求。
-
下載簽署憑證並上傳至您的 IdP。相同的簽署憑證可用於單一登出。
-
在 IdP 中啟用已簽署的請求。根據 IdP,名稱可能不同。
注意
RSA-SHA256 是唯一支援請求和預設請求簽署演算法。
-
-
選擇是否要啟用需要加密的 SAML 聲明。這可讓您加密來自 IdP 的 SAML 聲明。它可以防止 IdP 和 WorkSpaces 安全瀏覽器之間的 SAML 聲明攔截資料。
注意
此步驟不提供加密憑證。它會在您的入口網站啟動後建立。啟動入口網站後,請下載加密憑證並將其上傳至您的 IdP。然後,在您的 IdP 中啟用聲明加密 (名稱可能不同,取決於 IdP。
-
選擇是否要啟用單一登出。單一登出可讓您的最終使用者透過單一動作登出其 IdP 和 WorkSpaces 安全瀏覽器工作階段。
-
從 WorkSpaces 安全瀏覽器下載簽署憑證,並將其上傳至您的 IdP。這是上一個步驟中用於請求簽署的相同簽署憑證。
-
使用單一登出需要在 SAML 2.0 身分提供者中設定單一登出 URL。您可以在 主控台的服務供應商 (SP) 詳細資訊 - 顯示個別中繼資料值,或從 下的 SP
<md:SingleLogoutService>中繼資料檔案找到入口網站的單一登出 URL。 -
在 IdP 中啟用單一登出。根據 IdP,名稱可能不同。
-
